Много троянов, не работает wsus и не получается поставить антивирус

[0xBA0BAB]

Здравствуйте, глубокоуважаемые эксперты!
Знакомый попросил помочь с ноутом. Вин 7 home 32
Обнаружилась масса троянов.
К компьютеру доступ имею дети.
Несколькими Live CD лечил, наименьшее количество мути нашел Dr Web, наибольшее - Касперский, последний - Авира, нашел вроде штук 5 но ничего с ними не сделал, из под лив-сиди я сам вручную удалил. Но wsus так и не заработал, равно как не выходит поставить авиру.
wsus ведет себя так: нажимаем поиск обновлений, прогресс-бар начинает крутиться, но ничего не происходит, сколько не жди. Журнал обновлений пуст, говорится что обновления не устанавливались никогда (хотя список обновлений обширен)
Где-то очень крепко зараза засела...
Все остальное, что смог найти - уалил и уничтожил. Но этого явно мало.
Прошу помощи!

[Info_bot]

Уважаемый(ая) 0xBA0BAB, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[0xBA0BAB]

Очень прошу помощи. Все известные мне средства я испрбовал и все что смог - уже сделал

[Vvvyg]

Удалите программы initialpage123, initialsite123, Social2Search.

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\windowstm\tmservice.exe');
 StopService('TMService');
 StopService('LanmaMaster');
 QuarantineFile('c:\program files\windowstm\tmservice.exe', '');
 QuarantineFile('C:\Program Files\WindowsTM\TMDeskBand.dll', '');
 QuarantineFile('C:\Windows\system32\lanmamasterHelp.dll', '');
 QuarantineFile('c:\windows\system32\auhardwaregl.dll', '');
 QuarantineFile('C:\Program Files\WindowsTM\TMKernelU.dll', '');
 QuarantineFile('C:\Program Files\Maskit\MaskitService.exe', '');
 QuarantineFile('C:\Program Files\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\lanmamaster.sys', '');
 QuarantineFile('MaohaWifiNetPro.sys', '');
 QuarantineFile('C:\Windows\Manager.exe', '');
 DeleteFile('c:\program files\windowstm\tmservice.exe', '32');
 DeleteFile('C:\Program Files\WindowsTM\TMDeskBand.dll', '32');
 DeleteFile('C:\Windows\system32\lanmamasterHelp.dll', '32');
 DeleteFile('c:\windows\system32\auhardwaregl.dll', '32');
 DeleteFile('C:\Program Files\WindowsTM\TMKernelU.dll', '32');
 DeleteFile('C:\Program Files\Maskit\MaskitService.exe', '32');
 DeleteFile('C:\Program Files\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\lanmamaster.sys', '32');
 DeleteFile('MaohaWifiNetPro.sys', '32');
 DeleteFile('C:\Windows\Manager.exe', '32');
 DeleteService('TMService');
 DeleteService('MaskitService');
 DeleteService('Updater.Mail.Ru');
 DeleteService('LanmaMaster');
 DeleteService('MaohaWifiNetPro');
 DeleteFileMask('c:\program files\windowstm', '*', true);
 DeleteFileMask('c:\program files\maskit', '*', true);
 DeleteFileMask('c:\program files\mail.ru', '*', true);
 DeleteDirectory('c:\program files\windowstm');
 DeleteDirectory('c:\program files\maskit');
 DeleteDirectory('c:\program files\mail.ru');
 DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
 DelBHO('{E3605470-291B-44EB-8648-745EE356599A}');
 DelBHO('{C93F72A2-2162-4BBA-A07A-F13663C297A6}');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 ExecuteFile('schtasks.exe', '/delete /TN "Grihish" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Auhardwaregl\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[0xBA0BAB]

Спасибо за ответ! При выполнении первого скрипта через несколько секунд возникает окно с сообщением

Код:

Failed to set data for 'DisplayName'

Перезагрузки не происходит

- - - - -Добавлено - - - - -

Некоторые из файлов, перечисленных в скрипте, такие как MaiRuUpdater, MaskService я уже удалил
Изучая логи HiJackThis убил BHO и упоминания странных сайтов в поисковых страницах

[Vvvyg]

Программу WindowsTM удалите ещё и делайте полный образ автозапуска uVS.

[0xBA0BAB]

Ивиняюсь за паузу. Уежал, ноутбук отдавал хозяину, сейчас снова вожусь

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
uidel C:\Program Files\Solescoohut\nerzepy.exe 4d46dc2e-a7ea-4f29-9e6f-0e3d0936e180 "/k={FF17964F-AFE2-4674-B51F-8A94E8554E7D}"
uidel C:\Program Files\Shufward\ghermise.exe e7220372-798a-4399-8058-263b8f6e5b80 "/k={E3BAF7E2-38D3-4BD5-AC3B-0EF8B9752046}"
uidel C:\Program Files\Coejoentgruly\ghermise.exe e7220372-798a-4399-8058-263b8f6e5b80 "/k={A4FEA647-0DAB-40EA-9212-76CC353B915C}"
uidel C:\Program Files\Shufward\ghermise.exe e7220372-798a-4399-8058-263b8f6e5b80 "/k={A2221FB9-BA36-4B80-A6B9-F0DC977856E8}"
uidel C:\Program Files\Drebybulule\anerwt.exe 220fbab9-b227-4e4a-b951-041af5bdf5fb "/k={4CD80EC8-9137-44EF-B74F-00B4C060F1DF}"
uidel C:\Program Files\Coejoentgruly\ghermise.exe e7220372-798a-4399-8058-263b8f6e5b80 "/k={1D2DB066-9A5D-49C4-9676-FDBC36B9F64A}"
uidel C:\Program Files\Solescoohut\nerzepy.exe 4d46dc2e-a7ea-4f29-9e6f-0e3d0936e180 "/k={1C34D7BD-72F8-4BFF-9EAC-A9B0BB763C0A}"
uidel C:\Program Files\Clunaryanerhiy\nerzepy.exe 4d46dc2e-a7ea-4f29-9e6f-0e3d0936e180 "/k={8E82A3B3-7792-4192-8CD3-A707FD7D9696}"
uidel C:\Program Files\WindowsTM\TMUnInstall.exe
uidel C:\Windows\ce9ad347109cf39998232680596357d9.exe
delall C:\Windows\ce9ad347109cf39998232680596357d9.exe
deldir C:\Program Files\WindowsTM
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\APPV\SETUP\INSTALL.DLL
delref %Sys32%\DRIVERS\WINRING0_1_2_0.SYS
delref HTTP://WWW.OURLUCKYSITES.COM/?TYPE=HP&TS=1495021960&Z=69F14ED57848067D6FA9B17G6ZBT4W3EFO2GFT9Q6O&FROM=CHE0812&UID=WDCXWD3200BPVT-00HXZT1_WD-WXL1E91AUEUJAUEUJ
delref HTTP://WWW.OURLUCKYSITES.COM/SEARCH/?TYPE=DS&TS=1495021960&Z=69F14ED57848067D6FA9B17G6ZBT4W3EFO2GFT9Q6O&FROM=CHE0812&UID=WDCXWD3200BPVT-00HXZT1_WD-WXL1E91AUEUJAUEUJ&Q={SEARCHTERMS}
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAMDATA\AE6709C5-1B71-1\AE6709C5-1B71-1.D
delref %SystemDrive%\PROGRAMDATA\AE6709C5-2573-0\AE6709C5-2573-0.D
delref %Sys32%\GWX\GWX.EXE
delref %Sys32%\GWX\GWXCONFIGMANAGER.EXE
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
delref %SystemDrive%\PROGRAM FILES\YOUTUBEADBLOCKIE\MKVZ4AAF.EXE
delref %Sys32%\GWX\GWXUX.EXE
delref %Sys32%\GWX\GWXUI.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWSTM\TMDESKBAND.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWSTM\TMTIPS.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWSTM\TMUNINSTALL.EXE
deltmp
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сообщите, что с проблемами.

[0xBA0BAB]

Апдейты windows по-прежнему не устанавливаются. При нажатии на кнопку "Найти обновления" прогресс бар ухоит в бесконечный цикл.
Аналогично Авира не ставится. Там сейчас какой-то мультиустановщик из-под которого можно выбрать установку антивируса. Скачивание проходит, судя по сообщению этого мультиустановщика, начинается установка, потом рвется, ничего дальше не происходит. Сейчас поищу, может он какие-то логи оставляет после себя...

Посмотрел прикрепленный лог, и меня смутила таблица маршрутизации, может из-за этого апдейты не ставятся.... Но квалификации не хватает разобраться с этим

[Vvvyg]

Скачайте Windows Repair (All In One), распакуйте, запустите, закладка "Repairs", "Open Repairs", отметьте пункт 17 "Repair Windows Updates" и нажмите "Start Repairs".

Сообщите результат после перезагрузки.

[0xBA0BAB]

Обновления не аработали Во время выполнения в мелькании консоли были сообщения об ошиках. К сожалению, не удалось разглядеть, а в логах я ничего не нашел.

[Vvvyg]

Попробуйте ещё твики в Windows Repair:
26 "Restore Important Windows Services"
27 "Set Windows Services To Default Startup"